文件上传漏洞渗透和防御、webshell及中国菜刀(网络安全学习10)

最新推荐文章于 2024-08-02 15:52:34 发布
最新推荐文章于 2024-08-02 15:52:34 发布
阅读量3k 收藏 21
点赞数 1
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Until_U/article/details/107098160
版权

声明:从这篇文章开始我正式学习网络安全中常见的攻击和防御手段。我们要知道,我们要学习这个是为了了解网络中常见的攻击手段,只有了解了这些手段之后,我们才能对此做出相应的防御手段哦。

在学习本章文件上传漏洞之前,大家要先了解网络安全法,了解网络安全法则,从入门到入狱可不建议哦,哈哈。下面开始学习啦。

中华人民共和国网络安全法

 

CONTENTS

1 攻击渗透环境搭建

2 文件上传漏洞渗透及防御

2.1 文件上传漏洞基本操作(low安全级别)

2.2 文件类型限制利用工具burpsuite(medium安全级别)

2.3 限制文件扩展名(high安全级别)

3 文件上传漏洞webshell

4 中国菜刀基本功能

1 攻击渗透环境搭建

(1)三台虚拟机,一台靶机owasp,两台攻击机:kali和xin7。建议网络都设置为NAT(安全起见)

 

(2)虚拟机下载可以到官网上下载,下面也提供网盘下载,可参考这篇博客:

https://blog.csdn.net/Until_U/article/details/106984359

(3)账号密码:

owasp:用户名为:root   密码: owaspbwa

kali:用户名:kali   密码:kali

 

2 文件上传漏洞渗透及防御

2.1 文件上传漏洞基本操作(low安全级别)

(1)登录到owasp,输入虚拟机ip即可。下面这些每个对应一个虚拟机。选择Damn。

(2)账号密码都是admin,选择安全级别。low说明网站都是小白写的,没有什么安全意识。

owasp提供了后端代码展示,可以通过view source查看后端代码:

 

(3)因为这个安全级别low,这边文件上传不判断文件类型或后缀名,所以我们就可以通过上传php文件(webshell程序也就是木马程序),然后通过中国菜刀工具获取靶机的控制。下面可以可以上传图片,txt,然后通过网页访问测试一下。

(4)下面我们编写一个php文件,然后利用漏洞上传,再利用中国菜刀获取webshell控制权。

php文件:

<
最低0.47元/天 解锁文章
硬核的无脸man~
关注
专栏目录
【愚公系列】2023年06月 网络安全(交通银行杯)-中国菜刀
时光隧道
04-15 8313
Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。在过去,网络数据包分析软件是非常昂贵,或是专门属于营利用的软件,Wireshark的出现改变了这一切。在GNU通用公共许可证的保障范围底下,用户可以以免费的代价获取软件与其代码,并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。
网安工具系列:WebShell --中国菜刀,管站之刀
weixin_54626591的博客
03-29 683
WebShell --中国菜刀,管站之刀
Web安全_文件上传漏洞_DVWA上传shell+中国菜刀管理文件
BeatRex的博客
11-20 2644
远程登陆靶机: 打开kali命令行 ssh 账号@地址 输入密码 成功连接 这时就可以输入命令对靶机进行操作,如查看、删除文件、进入目录等等 如这里进入靶机里DVWA上传文件目录处查看所上传的文件: 可以查看到有四个文件,可以进行删除(这里删除php后缀的文件,防止对之后的实验干扰)使用rm 文件命令 1、上传一句话木马 一句话木马主要为系统函数,php主要为eval、system、she...
web安全】分享三款Webshell管理工具菜刀、蚁剑以及冰蝎)
最新发布
fly_enum的博客
08-02 906
分享三款Webshell管理工具菜刀、蚁剑以及冰蝎)
如何防止中国菜刀后门泄露webshell地址
sec_lee的专栏
11-30 5429
通过本地中转可以很好地防止带后门的菜刀窃取webshell。PHP代码如下所示,原理自行思考,不懂的请留言 <?php $webshell="http://www.victim.com/webshell.php";//把这里改成你的shell地址 $temp=$_POST; $data = $temp; $data = http_build_query($data); $
网络安全文件上传 + 一句话木马原理 + 菜刀的简单使用
垃圾管理员的垃圾站
09-01 1万+
很多的网站提供了文件上传功能,虽然提供了方便的服务,但稍有疏忽,就可能酿成大祸。 这里的疏忽是指,不对用户上传的内容进行检查。 仍旧以DVWA为例: 网站的本意是接受用户的图片(image),但后台代码却并没有对文件进行检测: 网页源码(部分截图): php处理源码: 文本也贴出来: File Upload Source vulner...
渗透测试-文件上传漏洞
weixin_43148062的博客
04-13 2430
WebShellWebShell管理工具 文件上传漏洞概述 文件上传漏洞绕过 文件上传漏洞防御 一、WebShellWebShell管理工具 什么是WebShell webshell,简称网页后门,简单的来说它是运行在web应用之上的远程控制程序。 webshell其实就是一张网页,由php、jsp、asp、asp.net等这类web应用程序语言开发,但webshell并不具备常见网页的...
文件上传漏洞渗透防御
若面朝大海边竹妮春暖花开的博客
09-24 453
在我们访问网站时很多时候需要我们上传文件,如头像、PDF文档等 按照规定,需要我们上传图片的话我们会上传图片,需要我们上传文档我们会上传文档 如果网站没有对我们上传的文件信息做出检测,我们上传了一些代码。如PHP文件,我们可能就会获得一些WEB的权限 如果一个网站后台的文件上传检测安全级别很低,并不严禁,如下图的PHP源码,只是规定了上传到服务器的位置和上传的文件名,那我们就可以上传一个php一句话木马来获得webshell 以下代码时PHP的一句话木马,使用中国菜刀进行连接,单引号里的为密码 一个
网络安全——文件上传漏洞防御
qq_39103818的博客
03-12 832
没有网络安全就没有国家安全 不知攻,焉知防 自动化网络防御体系 监控,比如网卡流量异常的时候,当CPU负载异常的时候 法律原因,不要对任何网站进行渗透扫描和漏扫,都属于有网络攻击的意向,属于犯法行为。 有专门的靶机 文件上传漏洞 没有经过后缀名的筛选,允许任何类的文件上传。 如果是一些php,asp的文件上传后,则相当于黑客直接拿到了webshell,还能通过中国菜刀之类的工具去控制这个网站。 1...
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
上传漏洞实战——中国菜刀和kali
测试喵~
07-22 1440
1.实验环境 目标靶机:OWASP_Broken_Web_Apps_VM_1.2我们还需要 中国菜刀 和 kali 这两个工具,把所有的杀毒软件关了,不然中国菜刀可能会被杀毒软件和谐。实验原理 1、文件上传(File Upload)是大部分Web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等2、正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时候再调用出来返回3、如果恶意文件如PHP、ASP等执行文件绕过Web应用,并顺利执行,则相当于黑客直接拿到了Webs
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 931
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
中国菜刀的使用
xy_wjyjw的博客
10-27 200
中国菜刀实现与一句话木马联动:中国菜刀在本地(攻击机)。一句话木马在服务器(靶机)上。WebShell Manager管理工具
web安全之文件上传漏洞攻击与防范方法
热门推荐
u014609111的博客
09-29 5万+
一、 文件上传漏洞WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害巨大的漏洞WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下
菜刀渗透
刘思成的博客
03-27 2531
快速搭建discuz论坛 使用kali下BurpSuite对discuz后台注入php木马 使用Cknife“菜刀”.上传webshell木马到网站 使用Webshell查看mysql数据库密码并盗取数据库 快速搭建discuz论坛 攻击思路 想要拿下一台主机A的权限: 1、了解一下这个服务器:端口,服务器版本,操作系统版本,找漏洞 2、拿到对A有一定权限的身份,如果对方是一个WEB服务器,就利用...
菜刀、蚁剑以及冰蝎三款Webshell管理工具简介
永远是少年
05-07 5750
今天继续给大家介绍渗透测试相关知识,本文主要内容是菜刀、蚁剑以及冰蝎三款Webshell管理工具简介。 一、三款webshell管理工具简单对比 二、菜刀数据包解析 三、蚁剑数据包解析 四、冰蝎数据包解析
菜刀实施文件上传漏洞攻击:
彭淦淦的博客
05-09 869
4.1 问题 DVWA搭建在Win2008虚拟机(192.168.111.142) 在宿主机访问DVWA,DVWA级别设置Low 利用文件上传漏洞,使用一句话木马和菜刀攻击 4.2 步骤 实现此案例需要按照如下步骤进行。 1)访问DVWA,选择Low级别,然后点击“File Upload”,如图-37所示 图-37 2)使用一句话木马<?php @eval($_POST['config']); ?>,将一句话保存到phpxm.php中上传,如图-38所示 图-38 3)
自学渗透第四天--中国菜刀
weixin_43710367的博客
05-12 1330
自学渗透第四天–中国菜刀 一、如何使用 中国菜刀的使用可利用网站的文件上传漏洞,通过一句话木马“<?php @eval($_POST['caidao']);?>”获取网站shell。本笔记使用的靶机是owasp。 (1)首先将一句话木马上传至网站后台。 (2)运行该文件,确认文件上传成功。 (3)复制该链接到中国菜刀,并输入相应的密码。 (4)成功获取网站shell。 二、常用功能 1、上传本地文件到网站后台。 2、下载在线文件至网站后台。 将欲下载的文件链接添加至下载框即可 由于某
利用Web文件上传漏洞获取Webshell的实战教程
在"web网站文件上传漏洞和攻击-运维安全详细笔记"中,本文详细探讨了Web应用中的文件上传漏洞及其潜在威胁。文件上传漏洞是指网站设计时未能正确验证用户上传的文件类型或内容,这可能导致恶意用户上传恶意脚本或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

硬核的无脸man~

你的鼓励是我创作的最大功力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值